部署 DHCP 服务器后，终端设备无法获取地址信息，导致该故障的原因可能是在网络中存在针对 DHCP Server 的服务拒绝攻击。

1. 网络中存在大量攻击者恶意申请 IP 地址，会导致 DHCP Server 中IP 地址快速耗尽而不能为其他合法用户提供 IP 地址分配服务。 DHCP Server 通常仅根据 DHCP Request 报文中的CHADDR（Client Hardware Address）字段来确认客户端的 MAC 地址。 如果攻击者通过不断改变 CHADDR 字段向 DHCP Server 申请IP地址，同样将会导致 DHCP Server 上的地址池被耗尽，从而无法为其他正常用户提供 IP 地址。

2. 在 DHCP 网络环境中，若攻击者短时间内向设备发送大量的 DHCP 报文，将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。

3. 已获取到 IP 地址的合法用户通过向服务器发送 DHCP Request 或DHCP Release 报文用以 续租 或 释放 IP 地址。 如果攻击者冒充合法用户不断向 DHCP Server 发送 DHCP Request报文来续租 IP 地址，会导致这些到期的 IP 地址无法正常回收，以致一些合法用户不能获得 IP 地址； 而若攻击者仿冒合法用户的 DHCP Release 报文发往 DHCP Server，将会导致用户异常下线。

4. 在 DHCP 网络中，静态获取 IP 地址的用户(非DHCP用户)对网络可能存在多种攻击，譬如仿冒 DHCP Server、构造虚假 DHCP Request报文等。 这将为合法 DHCP 用户正常使用网络带来了一定的安全隐患。

1. 对于企业网络而言构建可信网络的基础就是网络准入认证，对接入到网络中的各种设备可信度进行认证，并根据认证进行授权。 认证和授权可以结合华为园区网 AC 控制器来实现。

2. 本地 有线用户 与 无线用户 可以通过802.1x准入认证技术，对用户身份进行认证。

3. 对于远程拨号 VPN 用户，可以使用 SSL VPN 或 L2TP VPN等具备认证能力的 VPN 技术进行认证。

4. 对于哑终端设备可以使用 MAC 认证方式进行认证，对于访客可以使用 Portal 认证方式进行认证。

5. 在接入层交换机部署 端口安全技术，DHCP Snooping、DAI、IPSG技术，防止常见的防洪攻击，欺骗攻击，中间人攻击。 启用路由协议认证功能，防止路由欺骗攻击。

6. 在网络边缘出口根据企业网络安全需求部署防火墙，IPS, Anti DDos, WAF等设备，对网络流量进行安全策略放行，并实现内容安全，规范用户上网行为，防范DDos攻击以及实现WEB安全。

7. 终端设备定期更新系统补丁，以及防毒软件病毒库更新

1. ARP 表频繁变化故障排查，可能网络中存在 ARP 攻击行为，比如 ARP 欺骗攻击 和 ARP 泛洪攻击。

2. 终端获取地址为 169.254.X.X 的故障排查：

1. DHCP地址池中进行IP和MAC绑定

2. 开启端口安全

3. 使用二层ACL放行合法的MAC报文

4. MAC地址认证

5. 802.1X认证

部署 DHCP 服务器后，终端设备无法获取地址信息，导致该故障的原因可能是在网络中存在针对 DHCP Server 的服务拒绝攻击。

1. 网络中存在大量攻击者恶意申请 IP 地址，会导致 DHCP Server 中IP 地址快速耗尽而不能为其他合法用户提供 IP 地址分配服务。 DHCP Server 通常仅根据 DHCP Request 报文中的CHADDR（Client Hardware Address）字段来确认客户端的 MAC 地址。 如果攻击者通过不断改变 CHADDR 字段向 DHCP Server 申请IP地址，同样将会导致 DHCP Server 上的地址池被耗尽，从而无法为其他正常用户提供 IP 地址。

2. 在 DHCP 网络环境中，若攻击者短时间内向设备发送大量的 DHCP 报文，将会对设备的性能造成巨大的冲击以致可能会导致设备无法正常工作。

3. 已获取到 IP 地址的合法用户通过向服务器发送 DHCP Request 或DHCP Release 报文用以 续租 或 释放 IP 地址。 如果攻击者冒充合法用户不断向 DHCP Server 发送 DHCP Request报文来续租 IP 地址，会导致这些到期的 IP 地址无法正常回收，以致一些合法用户不能获得 IP 地址； 而若攻击者仿冒合法用户的 DHCP Release 报文发往 DHCP Server，将会导致用户异常下线。

4. 在 DHCP 网络中，静态获取 IP 地址的用户(非DHCP用户)对网络可能存在多种攻击，譬如仿冒 DHCP Server、构造虚假 DHCP Request报文等。 这将为合法 DHCP 用户正常使用网络带来了一定的安全隐患。

1. 对于企业网络而言构建可信网络的基础就是网络准入认证，对接入到网络中的各种设备可信度进行认证，并根据认证进行授权。 认证和授权可以结合华为园区网 AC 控制器来实现。

2. 本地 有线用户 与 无线用户 可以通过802.1x准入认证技术，对用户身份进行认证。

3. 对于远程拨号 VPN 用户，可以使用 SSL VPN 或 L2TP VPN等具备认证能力的 VPN 技术进行认证。

4. 对于哑终端设备可以使用 MAC 认证方式进行认证，对于访客可以使用 Portal 认证方式进行认证。

5. 在接入层交换机部署 端口安全技术，DHCP Snooping、DAI、IPSG技术，防止常见的防洪攻击，欺骗攻击，中间人攻击。 启用路由协议认证功能，防止路由欺骗攻击。

6. 在网络边缘出口根据企业网络安全需求部署防火墙，IPS, Anti DDos, WAF等设备，对网络流量进行安全策略放行，并实现内容安全，规范用户上网行为，防范DDos攻击以及实现WEB安全。

7. 终端设备定期更新系统补丁，以及防毒软件病毒库更新

1. ARP 表频繁变化故障排查，可能网络中存在 ARP 攻击行为，比如 ARP 欺骗攻击 和 ARP 泛洪攻击。

2. 终端获取地址为 169.254.X.X 的故障排查：

1. DHCP地址池中进行IP和MAC绑定

2. 开启端口安全

3. 使用二层ACL放行合法的MAC报文

4. MAC地址认证

5. 802.1X认证